Risk IT – il nuovo framework di ISACA per la gestione e la compliance dei rischi informatici

Il 2 febbraio 2009 ISACA, l’associazione internazionale degli IS Auditor e Security Manager, e l’IT Governance Institute (ITGI) hanno annunciato la pubblicazione, in bozza, di "Enterprise Risk: Identify, Govern and Manage IT Risk: The Risk IT Framework (Risk IT)" (pdf, 1.3M, 94 pp)un nuovo framework dedicato alla gestione dei rischi informatici in un’ottica di internal audit e regulatory compliance.
Il framework può esser liberamente scaricato (in lingua inglese) dal sito di ISACA e ITGI. Fino al 13 marzo 2009 è possibile inviare, secondo le indicazioni riportate sullo stesso documento, osservazioni sul documento in vista della versione definitiva.
Nel seguito pubblichiamo l’indice e la traduzione in lingua italiana della prefazione del framework Risk IT.

Prefazione

Questo documento fa parte dell’iniziativa "Risk IT " dell’IT Governance Institute (ITGI), iniziativa finalizzata ad aiutare le aziende nella gestione dei rischi collegati all’Information Technology (IT). Lo sviluppo del Risk IT framework si deve ad un team internazionale di esperti e professionisti che ha utilizzato prassi e metodologie diffuse e condivise per la gestione efficace dei rischi informatici. Risk IT è dunque un framework basato su un insieme di principi guida e processi caratteristici di business arricchito di linee guida di management conformi a tali principi. Via via che l’iniziativa Risk IT si svilupperà essa verrà integrata con i risultati delle attività di ricerca svolte da questo team, aggiornando le linee guida, inserendo nuovi case study e servizi ausiliari di supporto al framework di base.

Il Risk IT framework è complementare a COBIT anch’esso sviluppato da ITGI, che fornisce un approccio completo e coerente per il governo e la gestione di servizi di alta qualità basati sull’Information Technology. Ma mentre COBIT individua le "buone prassi" anche servendosi del risk management, il framework Risk IT si concentra sull’obiettivo di identificare, governare e gestire i rischi IT dell’impresa.
I rischi di business possono essere di vario tipo: di credito, strategico, di mercato, legati ai competitor, connessi all’Information Technology, eccetera.
Il rischio informatico (IT risk) è il rischio di business associato con l’uso, l’ownership, le procedure, il coinvolgimento, l’influenza e l’adozione dell’informatica in azienda. L’IT risk riguarda, dunque, gli eventi connessi all’informatica che possono avere potenzialmente un impatto sul business. Esso prende in considerazione sia la frequenza degli eventi incerti sia la gravità del possibile impatto di tali eventi; l’IT risk, proprio per la sua natura legata all’incertezza, rappresenta una sfida per il raggiungimento degli obiettivi strategici dell’impresa e può diventare un ostacolo per il conseguimento degli obiettivi aziendali.

Il rischio IT può essere categorizzato in modi differenti (figura 2):

  • IT service delivery risk, associato con la performance e la disponibilità dei servizi IT e che può portare alla distruzione o riduzione del valore d’impresa;
  • IT solution delivery/benefit realisation risk, associato con il contributo dell’IT alle nuove o più avanzate soluzioni di business di solito nella forma di progetti o programmi;
  • IT benefit realisation risk, associato con le opportunità (perdute) di usare la tecnologia per migliorare l’efficienza e l’efficacia dei processi di business o per usare la tecnologia  come “abilitatore” per le nuove iniziative di business.

Si noti che il rischio IT esiste sempre anche se esso non viene individuato o riconosciuto dall’azienda.

Per tutte le categorie di IT risk c’è sempre un equivalente "rovesciato". Per esempio:

  • service delivery – se le prassi per il service delivery sono rafforzate l’azienda può ottenere dei benefici cioè essere pronta ad assorbire ulteriori volumi di transazioni o quote di mercato;
  • project delivery – il delivery di progetti di successo porta a nuove funzionalità di business.

È importante comprendere e avere costantemente in mente la dualità rischio/opportunità quando si prendono le decisioni relative al rischio. Ad esempio la decisione può riguardare l’esposizione relativa ad un rischio non gestito rispetto al beneficio potenziale che ne può derivare oppure il potenziale vantaggio che si può ottenere se le opportunità sono colte rispetto ai vantaggi persi se esse non sono colte.
Il Risk IT framework si rivolge ad una vasta audience  in quanto il risk management è un requisito strategico e pervasivo in qualsiasi azienda.
L’audience di riferimento comprende:

  • alta direzione e componenti del consiglio di amministrazione che hanno la necessità di definire la direzione e monitorare i rischi a livello d’impresa;
  • manager dei dipartimenti IT e delle funzioni di business che hanno bisogno di definire i processi di gestione dei rischi;
  • professionisti del risk management che necessitano di specifiche linee guida per i rischi IT;
  • gli stakeholder esterni.

Il Risk IT framework completo si rivolge a manager e professionisti che giocano un ruolo nella gestione dei rischi IT. Linee guida aggiuntive sono disponibili nelle "Risk IT techniques guide" (qui sintetizzate: una pubblicazione più dettagliata sarà disponibile a breve in forma separata) che comprende esempi pratici, metodologie ed i riferimenti dettagliati del Risk IT, rispetto a COBIT e Val IT.
Il framework si basa sui principi di standard e framework generalmente riconosciuti per l’enterprise risk management quali COSO, ERM e AS/NZS 4360 e fornisce le linee guida su come applicare tali principi all’IT.
Risk IT si differenzia dagli attuali documenti e linee guida sull’IT risk che si focalizzano solamente sulla sicurezza informatica; al contrario Risk IT copre tutti gli aspetti dei rischi informatici.

I principi del Risk IT framework sono: 

  • governance d’impresa efficace dei rischi informatici:
    • collegare in continuo i rischi agli obiettivi di business
    • allineare la gestione dei rischi di business connessi all’IT con l’enterprise risk management aziendale
    • bilanciare i costi ed i benefici nella gestione dei rischi
  • gestione efficace dei rischi informatici:
    • facilitare una comunicazione aperta e onesta sui rischi informatici
    • definire un “giusto tono” dal vertice aziendale nella definizione e valorizzazione delle responsabilità (accountability) del personale
    • operare all’interno di livelli di tolleranza al rischio accettabili e ben definiti
    • stabilire un processo continuo che rientra nelle attività quotidiane.

Sulla base di tali principi i blocchi chiave per la costituzione di una buona gestione dei rischi sono: 

  • definizione delle responsabilità per la gestione dei rischi informatici
  • definizione degli obiettivi e della tolleranza e predisposizione al rischio (risk appetite)
  • identificazione, analisi e descrizione dei rischi
  • monitoraggio dell’esposizione al rischio
  • gestione dei rischi informatici
  • collegamento e coerenza con le linee guida già esistenti di gestione del rischio.

Intorno a questi "building blocks" è stato definito un modello di processo per i rischi informatici che apparirà familiare a chi già conosce COBIT e Val IT sono infatti fornite linee guida complete e coerenti sulle attività chiave per ciascun processo, per le responsabilità in ogni processo, per i flussi informativi tra i processi e per la gestione della performance di ogni processo. I processi sono divisi in tre domini  - Risk Governance, Risk Evaluation e Risk response – ciascuno dei quali contiene a sua volta tre processi:

  • Risk Governance
    • stabilire e mantenere una visione comune del rischio
    • integrazione con l’Enterprise Risk Management
    • prendere decisioni di business avendo coscienza dei rischi implicati
  • Risk Evaluation
    • raccogliere i dati
    • analizzare i rischi
    • gestire i profili di rischio
  • Risk Response
    • suddividere, articolare il rischio
    • gestire il rischio
    • rispondere agli eventi.

Applicando le "buone prassi" dell’IT risk management così come sono descritte in Risk IT permette di fornire benefici tangibili al business come ad esempio minori "sorprese " e "fallimenti" nelle procedure informatiche, maggiore qualità delle informazioni, maggiore fiducia da parte degli stakeholder e riduzione delle criticità legate alla compliance normativa.
Il Risk IT framework è parte del portfolio dei prodotti di ITGI sull’IT governance. Anche se questo framework può essere letto come un documento standalone, esso tuttavia prevede riferimenti a COBIT. La guida tecnica rilasciata a supporto di questo framework utilizza in maniera estesa riferimenti a COBIT e Val IT così i manager e i professionisti sono invitati a familiarizzarsi con i principi ed i contenuti più importanti di questi due framework.
Come COBIT e Val IT, Risk IT è un framework, non uno standard. Ciò significa che le aziende possono e devono personalizzare le componenti fornite nel framework per adattarle alle caratteristiche proprie della loro organizzazione e del loro contesto.

Indice 

  • Foreword
  • 1. Risk IT Framework—Purpose and Target Audience
    • Definition of IT Risk
    • Purpose of the Risk IT Framework
    • Intended Audiences and Stakeholders 
    • Benefits and Outcomes 
  • 2. Risk IT Principles 
  • 3. Responsibilities and Accountability for IT Risk
  • 4. Awareness and Communication
    • Awareness and Communication Benefits 
    • Risk Awareness—Risk Culture
    • Risk Communication—What to Communicate? 
    • Risk Communication—Stakeholders
  • 5. Responding to IT Risk
    • Risk Response Selection and Prioritisation 
  • 6. Risk and Opportunity Management Using COBIT, Val IT and Risk IT 
  • 7. The Risk IT Framework Components
  • 8. The Risk IT Foundation
    • Risk Scenarios 
    • Describing Business Impact
    • Key Risk Indicators 
  • 9. The Risk IT Process Model 
  • 10. Managing Risk in Practice—The Techniques Guide Overview
  • 11. Description of the Risk IT Framework 
    • Introduction
    • Detailed Process Descriptions 
    • Management Guidelines
    • Maturity Models 
  • 12. The Risk IT Framework
    • Risk Governance
      • RG1 Establish and Maintain a Common Risk View
      • RG2 Integrate With ERM 
      • RG3 Make Risk-aware Business Decisions
      • Domain Maturity Model (RG) 
    • Risk Evaluation
      • RE1 Collect Data 
      • RE2 Analyse Risk
      • RE3 Maintain Risk Profile
      • Domain Maturity Model (RE) 
    • Risk Response
      • RR1 Articulate Risk
      • RR2 Manage Risk
      • RR3 React to Events 
      • Domain Maturity Model (RR) 
  • Appendix—Overview of Reference Materials
  • Table of Figures

Articoli collegati in questo sito

Link utili

  • Sito di ISACA USA 
  • Le pagine (in inglese) dedicate a Risk IT  sul sito di ISACA USA 
  • Le pagine (in inglese) dedicate a COBIT sul sito di ISACA USA 
  • Pagina del download dei documenti COBIT sul sito di ISACA USA (in inglese) 
  • Download di COBIT 4.1 (in inglese) dal sito di ISACA USA (richiede registrazione gratuita) (pdf, 1.5 M, 213 pp).
  • Tutto su COBIT (in italiano)
  • ComplianceNet: